INSTITUT PRO TESTOVÁNÍ A CERTIFIKACI

ISO/IEC 27001

Certifikace systémů managementu - ISO/IEC 27001
Certifikace ISO/IEC 27001 se zaměřuje na systém managementu bezpečnosti informací (Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací – Požadavky) a je použitelná v jakékoliv organizaci a oblasti výroby či služeb. Tento standard je dnes uznávaný po celém světě a zavedení tohoto systému managementu je základem pro další požadavky na řízení společnosti.

Odkazy / Ke stažení

PRINCIPY CERTIFIKACE PODLE ISO/IEC 27001

Mezinárodně uznávaná norma ISO/IEC 27001 byla vytvořena Mezinárodní Organizací pro standardizaci – International Organization for Standardization (ISO), jejímž cílem je stanovovat mezinárodní požadavky pro systém managementu bezpečnosti informací. Zabezpečení informací a norma ČSN EN ISO/IEC 27001 se netýká jen informačních technologií, ale zahrnuje všechny aspekty bezpečnosti informací. Základní normy pro systém řízení bezpečnosti informací jsou dány normou ČSN EN ISO/IEC 27002:2023 Informační technologie - Bezpečnostní techniky - Soubor postupů pro opatření bezpečnosti informací a ČSN EN ISO/IEC 27001:2014 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací – Požadavky (revidovaná verze ISO/IEC 27001:2022).

Certifikát, vydaný nezávislým akreditovaným certifikačním orgánem, zaručuje, že systém managementu bezpečnosti informací je zaveden, dokumentován a používán v souladu s požadavky normy ISO/IEC 27001. Tímto certifikátem se organizace může prezentovat jako důvěryhodný partner pro své zákazníky, partnery a ostatní zainteresované strany, kteří vyžadují zajištění bezpečnosti informací.

REVIZE NORMY ISO/IEC 27001

Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnická komise (IEC) vydaly novou verzi normy ISO/IEC 27001:2022. Tato norma specifikuje požadavky pro řízení informační bezpečnosti a poskytuje rámec pro vytvoření a hodnocení bezpečnostního managementu informací.

Revize normy ISO/IEC 27001:2022 přináší několik důležitých změn, včetně aktualizovaného textu, nových definic a pozměněných požadavků na některé části standardu. Tyto změny se zaměřují na posílení ochrany citlivých informací a zvýšení efektivity procesů řízení informační bezpečnosti.

Hlavní změny:

  • redakční úpravy v článku 6.1.3.
  • Příloha A odkazuje na opatření uvedená v normě ISO/IEC 27002:2022
  • Počet opatření v normě ISO/IEC 27002:2022 se snížil z 114 na 93 ve 4 oblastech.11 opatření je nových, 24 sloučeno ze stávajících opatření a 58 aktualizováno. Struktura opatření byla revidována a zavádí se "atribut" a "účel" pro každé opatření namísto "cílů" pro skupiny opatření.

Organizace, které již používají normu ISO/IEC 27001, budou muset přezkoumat své stávající bezpečnostní managementové systémy a provést aktualizace, aby splňovaly nové požadavky revize. Nová revize normy také poskytuje příležitost pro organizace, které dosud neimplementovaly bezpečnostní management informací, aby začaly s plánováním a implementací nových postupů.

Pokud se vaše organizace zabývá bezpečností informací, je důležité se seznámit s novou revizí normy ISO/IEC 27001:2022 a zvážit, jaké kroky je nutné podniknout pro zajištění bezpečnosti vašich citlivých informací.

Přechod na revidovanou normu ISO/IEC 27001:2022 se řídí podle dokumentu IAF MD 26, ten stanovuje 3leté přechodné období od posledního dne v měsíci data vydání mezinárodní normy ISO/IEC 27001:2022, tzn. přechodné období platí do 31. 10. 2025. To znamená, že od 31. 10. 2025 nebudou členové IAF uznávat certifikáty vydané podle starších norem ČSN EN ISO/IEC 27001: 2014 / ISO/IEC 27001:2013.

Platnost certifikátů vydávaných podle starších norem ČSN EN ISO/IEC 27001: 2014 / ISO/IEC 27001:2013 je stanovena paralelně až do 31. 10. 2025. Certifikační orgány mají povinnost zahájit počáteční certifikace a recertifikace podle nové normy nejpozději do 30. 09. 2024. Od tohoto data již nebude certifikační orgán provádět počáteční certifikace a recertifikace podle starších norem.

Dokument IAF MD 26 dále vyžaduje, aby při auditu (dozorovém či speciálním auditu) přidal certifikační orgán povinně ke standardní době trvání auditu navíc 1 auditoden (tj. 8 hodin posuzování u klienta) a při recertifikačním auditu navíc 0,5 auditodne (tj. 4 hodiny posuzování u klienta) pro ověření nových požadavků normy ISO/IEC 27001:2022.

Získání akreditace v COSM 3002 předpokládáme do 31. 10. 2023.

Pokud vaše organizace plánuje certifikaci podle nové verze normy ISO/IEC 27001:2022, můžete u nás požádat o certifikaci.

PŘÍNOSY CERTIFIKACE

  • zabezpečení informací je integrální částí celého systému managementu organizace, což zvyšuje efektivitu ochrany informací a minimalizuje rizika ztráty či úniku citlivých informací,
  • hlavní faktory ovlivňující podnikatelskou soutěž, informace a jejich zabezpečení jsou v řízeném režimu, což organizacím umožňuje lépe se orientovat na trhu a být konkurenceschopnější,
  • spolehlivost systému podporují systémy zálohování,
  • zvýšení povědomí zaměstnanců za odpovědnost zabezpečení informací svých pracovišť i svých zákazníků,
  • zvýšení důvěryhodnosti firmy v očích zákazníků a ostatních obchodních partnerů a institucím státního sektoru,
  • zavedení pořádku a pravidel do všech aktivit uvnitř firmy,
  • možnost následné zpětné kontroly plnění stanovených pravidel v systému,
  • uplatňováním preventivních opatření minimalizace rizika ekonomických ztrát souvisejících se selháním informační techniky,
  • minimalizace rizika odcizení podnikových informací (know-how, data zákazníků apod.) a zajištění bezpečnosti dat a soukromí osob.

CERTIFIKAČNÍ PROCES

Proces certifikace má tyto základní fáze:

  • Zpracování dokumentace
  • Zavedení QMS do praxe
  • Certifikace akreditovaným certifikačním orgánem
    • posouzení a evidence žádosti klienta k certifikaci,
    • uzavření smlouvy o provedení certifikačního auditu (certifikační audit probíhá ve dvou stupních),
    • ustanovení týmu auditorů,
    • zpracování plánu auditu,
    • ověřování skutečností v etapách:
      a) přezkoumání dokumentace klienta,
      b) prověření skutečností na místě.
    • vypracování zprávy o výsledku certifikačního auditu,
    • posouzení zprávy z auditu certifikačním orgánem,
    • vydání certifikátu.
  • Dozorový audit
    • po dobu tříleté platnosti certifikátu probíhá 1x ročně dozorový audit. V souvislosti s výsledkem dozoru je vydáno rozhodnutí o potvrzení platnosti certifikátu do dalšího dozoru popř. rozhodnutí o pozastavení platnosti certifikátu. V případě zásadních odchylek od požadavků norem lze přikročit ke krajnímu opatření a certifikát odejmout.
  • Recertifikační audit
    • pro zajištění kontinuální platnosti certifikace by na základě rozhodnutí držitele certifikátu měl ve třetím roce, před ukončením platnosti certifikátu, proběhnout recertifikační audit.

IQNET – MEZINÁRODNÍ CERTIFIKÁT

Institut pro testování a certifikaci, a. s. je členem CQS z.s. , která je členem mezinárodního sdružení certifikačních orgánů sítě IQNet . Prostřednictvím této spolupráce je možno na vyžádání vydat v rámci jednoho certifikačního procesu jak certifikát ITC, tak i certifikát CQS a mezinárodně uznávaný certifikát IQNet .

HOSPODÁŘSKÁ KOMORA ČESKÉ REPUBLIKY

Sekce kvality - Kvalita certifikace, zákaznická vazba.

Odkazy


SOUVISEJÍCÍ SLUŽBY

  • certifikace systému řízení kvality (ISO 9001),
  • certifikace systémů managementu jakosti u výrobců zdravotnických prostředků (ČSN EN ISO 13485),
  • certifikace environmentálního managementu (ISO 14001),
  • certifikace systému hospodaření s energií (ISO 50001),
  • certifikace systému managementu bezpečnosti a ochrany zdraví při práci (ISO 45001),
  • certifikace systému managementu bezpečnosti potravin (ISO 22000),
  • certifikace systému kritických bodů v potravinářském průmyslu (HACCP),
  • posuzování shody výrobků s požadavky evropských direktiv (označování výrobků CE),
  • testování výrobků, ATEST ITC,
  • kalibrace, ověřování etalonů a měřidel,
  • dobrovolná certifikace – značka „ITC certifikovaná kvalita“ a značka „Bezpečné hračky“,
  • technická normalizace.

KONTAKTY

Ing. Jaroslav Rapant

vedoucí odd. certifikace systému managementu


Poštovní adresa:
Institut pro testování a certifikaci, a. s.
odd. certifikace systému managementu
třída Tomáše Bati 5264, 760 01 Zlín

Za aktuálnost údajů odpovídá: Ing. Jaroslav Rapant